09-L2TP命令
本章节下载 (138.63 KB)
目 录
1.1.4 interface virtual-template
【命令】
allow l2tp virtual-template virtual-template-number remote remote-name [ domain domain-name ]
【视图】
L2TP组视图
【参数】
virtual-template-number:指定用于创建新的虚拟访问接口(virtual access interface)时所用的虚接口模板,取值范围为0~1023。
remote-name:指定发起连接请求的隧道对端的名称,为1~30个字符的字符串,区分大小写。
domain-name:指定域名,为1~30个字符的字符串。
【描述】
allow l2tp命令用来指定接收呼叫的虚拟接口模板、隧道对端名称和域名。undo allow命令用来取消配置。
缺省情况下,禁止接受呼入。
需要注意的是:
l 在L2TP多实例应用中,必须配置参数domain-name。
l 使用L2TP组号1(缺省的L2TP组号)时,可以不指定隧道对端名。即在组1下进行配置时,本命令的格式为:allow l2tp virtual-template virtual-template-number [ remote remote-name ] [ domain domain-name ]。任何名字的计算机都能发起隧道请求。
l 如果在L2TP组1的配置模式下,仍指定对端名称,则L2TP组1不作为缺省的L2TP组。
l 在Windows 2000 beta 2版本中,VPN连接的本端名称为NONE,则语音网关收到的对端名称为NONE。为了接收这种不知名的对端发起的隧道请求连接,或者用于测试目的,可以设置一个缺省的L2TP组。
l 命令allow l2tp使用在LNS侧,如果配置了隧道对端名称,要确保隧道对端的名称和LAC侧配置的本端名称一致。
相关配置可参考命令l2tp-group。
【举例】
# 接受名称为AS8010的对端(LAC)发起L2TP隧道连接请求,并根据virtual-template 1创建virtual-access接口。
<VG> system-view
[VG] l2tp-group 2
[VG-l2tp2] allow l2tp virtual-template 1 remote AS8010
# 将L2TP组1作为缺省的L2TP组,接受任何对端发起的L2TP隧道连接请求,并根据virtual-template 1创建virtual-access接口。
<VG> system-view
[VG] l2tp-group 1
[VG-l2tp1] allow l2tp virtual-template 1
【命令】
display l2tp session
【视图】
任意视图
【参数】
无
【描述】
display l2tp session命令用来显示当前L2TP会话的信息。
相关配置可参考命令display l2tp tunnel。
【举例】
# 显示当前L2TP会话信息。
<VG> display l2tp session
Total session = 1
LocalSID RemoteSID LocalTID
1 1 2
表1-1 display l2tp session命令显示信息描述表
字段 |
描述 |
Total session |
会话的数目 |
LocalSID |
本端唯一标识一个会话的数值 |
RemoteSID |
对端唯一标识一个会话的数值 |
LocalTID |
隧道的本端标识号 |
【命令】
display l2tp tunnel
【视图】
任意视图
【参数】
无
【描述】
display l2tp tunnel命令用来显示当前L2TP隧道的信息。
该命令的输出信息,可以帮助用户确定当前所建立的L2TP隧道信息。
【举例】
# 显示当前L2TP隧道信息。
<VG> display l2tp tunnel
Total tunnel = 1
LocalTID RemoteTID RemoteAddress Port Sessions RemoteName
2 2284 11.1.1.1 1701 1 lns
表1-2 display l2tp tunnel命令显示信息描述表
字段 |
描述 |
Total tunnel |
隧道的数目 |
LocalTID |
本端唯一标识一个隧道的数值 |
RemoteTID |
对端唯一标识一个隧道的数值 |
RemoteAddress |
对端的IP地址 |
Port |
对端的端口号 |
Sesssions |
此隧道上的会话数目 |
RemoteName |
对端的名称 |
【命令】
interface virtual-template virtual-template-number
undo interface virtual-template virtual-template-number
【视图】
系统视图
【参数】
virtual-template-number:标识虚接口模板序号,取值范围为0~1023。
【描述】
interface virtual-template命令用来创建虚接口模板,并进入虚接口模板视图。undo interface virtual-template命令用来删除虚接口模板。
缺省情况下,系统没有创建虚接口模板。
虚接口模板主要用于配置语音网关在运行过程中动态创建的虚接口的工作参数,如MP捆绑逻辑接口和L2TP逻辑接口等。
相关配置可参考命令allow l2tp。
【举例】
# 创建虚接口模板1,并进入虚接口模板视图。
<VG> system-view
[VG] interface virtual-template 1
【命令】
l2tp enable
undo l2tp enable
【视图】
系统视图
【参数】
无
【描述】
l2tp enable命令用来启用L2TP功能。undo l2tp enable命令用来关闭L2TP功能。
缺省情况下,L2TP功能处于关闭状态。
只有启用该功能后才能进行其他配置。
相关配置可参考命令l2tp-group。
【举例】
# 启用L2TP功能。
<VG> system-view
[VG] l2tp enable
【命令】
l2tp sendaccm enable
undo l2tp sendaccm enable
【视图】
系统视图
【参数】
无
【描述】
l2tp sendaccm enable命令用来启用L2TP的ACCM消息发送功能。undo l2tp enable命令用来关闭L2TP的ACCM消息发送功能。
缺省情况下,L2TP的ACCM消息发送功能处于开启状态。
【举例】
# 关闭L2TP的ACCM消息发送功能。
<VG> system-view
[VG] undo l2tp sendaccm enable
【命令】
l2tpmoreexam enable
undo l2tpmoreexam enable
【视图】
系统视图
【参数】
无
【描述】
本命令在LNS端配置。
l2tpmoreexam enable命令用来启用L2TP多实例功能。undo l2tpmoreexam enable命令用来关闭L2TP多实例功能。
缺省情况下,L2TP多实例功能处于关闭状态。
需要注意的是,本命令在LNS端配置。
相关配置可参考命令l2tp enable。
【举例】
# 在语音网关(LNS端)上启用L2TP多实例功能。
<VG> system-view
[VG] l2tpmoreexam enable
【命令】
l2tp-group group-number
undo l2tp-group group-number
【视图】
系统视图
【参数】
group-number:标识L2TP组号,取值范围为1~1000。
【描述】
l2tp-group命令用来创建L2TP组,并进入L2TP组视图。undo l2tp-group命令用来删除L2TP组。
缺省情况下,没有创建任何L2TP组。
使用undo l2tp-group命令删除L2TP组后,该组的所有配置信息也将被删除。
相关配置可参考命令allow l2tp和start l2tp。
【举例】
# 创建L2TP组2,并进入L2TP组视图。
<VG> system-view
[VG] l2tp-group 2
[VG-l2tp2]
【命令】
mandatory-chap
undo mandatory-chap
【视图】
L2TP组视图
【参数】
无
【描述】
mandatory-chap命令用来强制LNS与用户端(Client)之间重新进行CHAP验证。undo mandatory-chap命令用来禁止CHAP的重新验证。
缺省情况下,系统不进行CHAP的重新验证。
在LAC对用户端进行代理验证后,LNS对用户端再次进行验证,可以增加安全性。如果使用mandatory-chap命令,则对于由接入服务器初始化隧道连接的VPN的用户端来说,会经过两次验证:一次是用户端在接入服务器端的验证,另一次是用户端在LNS端的验证。一些PPP用户端可能不支持进行第二次验证,这时,本端的CHAP验证会失败。
相关配置可参考命令mandatory-lcp。
【举例】
# 强制进行CHAP验证。
<VG> system-view
[VG] l2tp-group 1
[VG-l2tp1] mandatory-chap
【命令】
mandatory-lcp
undo mandatory-lcp
【视图】
L2TP组视图
【参数】
无
【描述】
mandatory-lcp命令用来强制LNS与用户端(Client)之间重新进行链路控制协议(Link Control Protocol)的协商。undo mandatory-lcp命令用来禁止LCP的重新协商。
缺省情况下,系统不重新进行LCP协商。
对于NAS-Initialized VPN的用户端,在一个PPP会话开始时,将先和网络接入服务器(NAS)进行PPP协商。如果协商通过,则由接入服务器初始化隧道连接,并把与用户端协商收集到的信息传给LNS;LNS根据收到的代理验证信息判断用户是否合法。使用mandatory-lcp命令可以强制LNS与用户端重新进行LCP协商,这就忽略NAS的代理验证信息。如果一些PPP用户端不支持LCP的重新协商,则LCP重新协商过程会失败。
相关配置可参考命令mandatory-chap。
【举例】
# 强制进行LCP重新协商。
<VG> system-view
[VG] l2tp-group 1
【命令】
reset l2tp tunnel { remote-name | tunnel-id }
【视图】
用户视图
【参数】
remote-name:为隧道对端的名称。
tunnel-id:为隧道本端的标识号,取值范围为1~8191。
【描述】
reset l2tp tunnel命令用来断开指定的隧道连接,同时断开隧道内的所有会话连接。
需要注意的是:
l 强制断开一个隧道连接后,当对端用户再次呼入时,隧道可以重新建立。
l 通过指定隧道的对端名称来确定需要断开的隧道连接。如果没有符合条件的隧道连接存在,则对当前的隧道连接没有影响。如果有多个符合条件的隧道连接存在(同一个名称,不同IP地址),则断开所有符合条件的隧道连接。
l 指定tunnel-id时,只断开对应的隧道连接。
相关配置可参考命令display l2tp tunnel。
【举例】
# 断开对端名称为AS8010的Tunnel连接。
【命令】
start l2tp ip ip-address&<1-5> { domain domain-name | fullusername user-name }
undo start
【视图】
L2TP组视图
【参数】
ip-address&<1-5>:隧道对端(LNS)的IP地址列表。&<1-5>。其中,&<1-5>表示前面的参数最多可以输入5次。
domain-name:指定触发连接请求的用户域名,为1~30个字符的字符串,区分大小写。
user-name:指定触发连接请求的用户全名,取值范围为1~32个字符的字符串,区分大小写。
【描述】
start l2tp命令用来配置本端作为L2TP LAC端时发起呼叫的触发条件。undo start 命令用来删除配置的触发条件。
需要注意的是:
l 此命令在LAC端使用。使用此命令可以指定LNS的IP地址,并支持多种触发连接请求。
l 可以根据用户域名来发起建立隧道的连接请求。比如用户所在公司的域名为example.com,则可以指定包含example.com域名的用户为VPN用户。
l 可以直接通过用户全名来指定该用户为VPN用户。如果发现是VPN用户,则本端(LAC)按照配置的LNS的先后顺序向每个LNS发送建立L2TP隧道的连接请求,当得到LNS的接收应答后,该LNS就作为隧道的对端;否则LAC向下一个LNS发起隧道连接请求。
【举例】
# 根据域名example.com来判断VPN用户,对应的总部L2TP接入服务器的IP地址为202.38.168.1。
<VG> system-view
[VG] l2tp-group 1
[VG-l2tp1] start l2tp ip 202.38.168.1 domain example.com
【命令】
tunnel authentication
undo tunnel authentication
【视图】
L2TP组视图
【参数】
无
【描述】
tunnel authentication命令用来启用L2TP的隧道验证功能。undo tunnel authentication命令用来取消L2TP隧道验证功能。
缺省情况下,L2TP隧道进行验证功能处于开启状态。
一般情况下,为了安全起见,隧道两端都需要对对方进行验证。如果为了进行网络的连通性测试或者是接收不知名对端发起的连接,可以不进行隧道验证。
【举例】
# 取消L2TP隧道验证功能。
<VG> system-view
[VG] l2tp-group 1
[VG-l2tp1] undo tunnel authentication
【命令】
tunnel avp-hidden
undo tunnel avp-hidden
【视图】
L2TP组视图
【参数】
无
【描述】
tunnel avp-hidden命令用来配置对AVP(Attribute Value Pair,属性值对)数据采用隐藏的方式进行传输。undo tunnel avp-hidden命令用来恢复缺省情况。
缺省情况下,隧道采用明文方式传输AVP数据。
需要注意的是:
l L2TP协议的一些参数是通过AVP数据来传输的,如果用户对这些数据的安全性要求高,可以使用本命令将AVP数据的传输方式配置成为隐藏传输。
l 该命令在LAC端配置有效。
【举例】
# 配置AVP数据采用隐藏方式传输。
<VG> system-view
[VG] l2tp-group 1
[VG-l2tp1] tunnel avp-hidden
【命令】
tunnel flow-control
undo tunnel flow-control
【视图】
L2TP组视图
【参数】
无
【描述】
tunnel flow-control命令用来开启L2TP隧道流控功能。undo tunnel flow-control命令用来关闭隧道流控功能。
缺省情况下,L2TP隧道流控功能处于关闭状态。
【举例】
# 开启L2TP隧道流控功能。
<VG> system-view
[VG] l2tp-group 1
[VG-l2tp1] tunnel flow-control
【命令】
tunnel name name
undo tunnel name
【视图】
L2TP组视图
【参数】
name:标识隧道本端的名称,为1~30个字符的字符串。
【描述】
tunnel name命令用来配置隧道本端的名称。undo tunnel name命令用来恢复缺省情况。
缺省情况下,隧道本端的名称为系统的名称。
当创建一个L2TP组时,本端名称将被初始化成系统的名称。
相关配置可参考“系统分册/系统基本配置命令”中的命令VG。
【举例】
# 配置隧道本端名称为itsme。
<VG> system-view
[VG] l2tp-group 1
[VG-l2tp1] tunnel name itsme
【命令】
tunnel password { simple | cipher } password
undo tunnel password
【视图】
L2TP组视图
【参数】
simple:密码以明文方式显示。
cipher:密码以密文方式显示。
password:标识隧道验证时使用的密码,区分大小写。对于simple方式,必须是明文密码;对于cipher方式,可以是密文密码也可以是明文密码。明文密码可以是长度小于等于16的连续字符串,如:aabbcc。密文密码的长度必须是24位,如_(TT8F)Y\5SQ=^Q`MAF4<1!!。
【描述】
tunnel password命令用来配置隧道验证时的密码。undo tunnel password命令用来删除隧道验证的密码。
缺省情况下,系统的隧道验证密码为空。
【举例】
# 配置隧道验证的密码为yougotit,并且以密文方式显示。
<VG> system-view
[VG] l2tp-group 1
[VG-l2tp1] tunnel password cipher yougotit
【命令】
tunnel timer hello hello-interval
undo tunnel timer hello
【视图】
L2TP组视图
【参数】
hello-interval:LAC或LNS在没有报文接收时发送Hello报文的时间间隔,取值范围为60~1000,单位为秒。
【描述】
tunnel timer hello命令用来配置隧道中Hello报文发送时间间隔。undo tunnel timer hello命令用来恢复缺省情况。
缺省情况下,隧道中Hello报文发送时间间隔为60秒发送一次。
在LNS和LAC侧,可以分别配置不同的Hello报文时间间隔。使用undo tunnel timer hello命令把时间间隔恢复到缺省值。
【举例】
# 配置隧道中Hello报文的发送时间间隔为99秒
<VG> system-view
[VG] l2tp-group 1
[VG-l2tp1] tunnel timer hello 99
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!